Entenda os passos essenciais para a adequação da sua empresa à LGPD evitando sanções administrativas e judiciais.
Com a entrada em vigor da Lei Geral de Proteção de Dados – LGPD (http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm) –, várias preocupações começaram a surgir na cabeça dos empresários, sobretudo, quanto ao que é necessário fazer para cumprir as exigências da nova lei, ou seja, os passos essenciais para conseguir fazer uma adequação suas empresas à LGPD, mesmo antes da possibilidade de aplicação de sanções administrativas. Ocorre que essas sanções passarão a ser aplicadas a partir deste mês – agosto de 2021 – e, consequentemente, a aflição dos empresários tende a aumentar consideravelmente.
Importante considerar que todos os negócios econômicos lidam, de alguma forma, com dados pessoais. Então, os mais diversos modelos de negócios sofrem os impactos da entrada em vigor da LGPD. Assim, é um enorme equívoco pensar que a nova lei afetará apenas os negócios movidos a dados ou aqueles que dizem respeito à chamada economia digital.
Além disso, até mesmo os negócios da economia tradicional, bem como pequenos negócios terão que lidar com as exigências relacionadas à proteção dos dados pessoais, especialmente no que diz respeito aos seus trabalhadores, clientes ou consumidores.
Importante ressaltar que a observância à Lei se aplica também a profissionais liberais, tais como médicos e advogados.
Torna-se essencial, portanto, o desenvolvimento de estratégias básicas de proteção de dados que respeitem os direcionamentos e as boas práticas que protejam os direitos de titulares e diminuam os riscos de sanção administrativa e judicial dos agentes de tratamento de dados.
Com uma lei já em vigor e capaz de responsabilizar negócios que utilizam dados pessoais, é árdua a tarefa de construir um programa de conformidade e, muitas vezes, não há tempo hábil para que se aguarde a implementação completa de um programa de compliance.
Diante do cenário de urgência para se adequar à política de conformidade à LGPD, é imprescindível integrar as normas jurídicas com soluções tecnológicas.
Elencaremos, portanto, quatro passos para uma adequação empresarial de urgência à Lei Geral de Proteção de Dados, que são:
1. Avaliar o fluxo de utilização de dados pessoais na instituição e os riscos associados.
O primeiro passo consiste em mapear o fluxo de dados pessoais manejados pela empresa, que é a agente de tratamento de dados, e que sejam verificadas eventuais brechas de segurança ou de privacidade.
Dessa forma, é possível realizar uma avaliação dos fluxos de tratamento de dados e dos riscos associados à atividade empresarial em questão. Com o mapeamento do fluxo de dados é possível entender os problemas concretos da empresa, com uma compreensão detalhada das situações e dos contextos nos quais o tratamento de dados ocorre.
Isso permite um processo de adequação à LGPD mais certeiro, e que conheça as reais necessidades empresarias para tanto.
2. Adequar e organizar a estrutura da empresa para comportar uma estratégia de conformidade com a LGPD
Adequar e organizar a estrutura da empresa para comportar uma estratégia de conformidade com a LGPD, indicando, principalmente, um encarregado de proteção de dados pessoais e capacitar as mais diversas áreas existentes na empresa quanto às exigências legais em questão.
Em um segundo momento é necessário estabelecer um conjunto de mecanismos para comunicação interna – entre os diversos departamentos e áreas das empresas envolvidas – como, também, para comunicação externa – criar um diálogo com o público a respeito do tratamento de dados pessoais, bem como com a Autoridade Nacional de Proteção de Dados.
Assim, é importante que exista na estrutura organizacional das empresas envolvidas um encarregado pela proteção de dados, bem como alguém ou um comitê interdisciplinar interno que promova a interação entre os diversos departamentos da organização.
3. Implementar estratégia de comunicação eficiente
Implementar estratégia de comunicação eficiente seja no plano interno da empresa, seja no que diz respeito à comunicação com agentes externos à organização, sobretudo com a Autoridade Nacional de Proteção de Dados –ANPD.
O terceiro passo consiste na capacitação de colaboradores da empresa para responder a eventuais solicitações encaminhadas, especialmente por agentes externos à organização, quando procurarem compreender a política de proteção de dados e/ou as finalidades do tratamento de dados ocorrido no interior da empresa.
É importante esclarecer que o único sujeito competente para a resolução de eventuais questões atinentes à proteção de dados pessoais é o encarregado, razão pela qual os representantes dos diversos departamentos da empresa devem ser capacitados a encaminhar-lhe eventuais solicitações, caso as recebam.
O encarregado, por sua vez, deve estar capacitado para respondê-las da maneira mais completa possível, sempre ressaltando o estado atual de implementação da LGPD em que a empresa está, o qual esclarecerá que já conta com estrutura adequada à gestão dos fluxos de dados e à resolução de eventuais solicitações que possam vir a surgir.
4. Adaptar tanto os ambientes digitais quanto os físicos diante das normas com a segurança da informação.
O quarto passo consiste em na implementação de ferramentas, sobretudo de segurança da informação, no intuito de se proteger os dados pessoais, tratados pela empresa, que estão em meios físicos, como aqueles que são digitais, já que a LGPD normatiza obrigatoriedade de tratamento em ambas as situações.
Diante de todo o exposto, é fundamental que os negócios econômicos adequem sua estrutura à proteção de dados, visando mitigar riscos de responsabilização, tanto administrativos, já que a Autoridade Nacional de Proteção de Dados começará a aplicar sanções administrativas a partir de agosto de 2021 (https://www.gov.br/anpd/pt-br/assuntos/noticias/sancoes-administrativas-o-que-muda-apos-1o-de-agosto-de-2021), quanto jurídicos, e para que se tenha uma prestação de serviços comprometida com o respeito à privacidade de seus usuários.
Agindo assim as empresas estarão preparadas e capacitadas para a produção de respostas às solicitações que lhes forem encaminhadas e, agirão preservando seus negócios a partir do momento em que estejam em conformidade com a LGPD.
E, por óbvio, a implementação da LPGD produz vários desafios às empresas, agentes de tratamento de dados, por isso é imprescindível contar com profissionais capacitados para que haja uma correta e eficiente adequação do negócio econômico às exigências legais de proteção de dados.
Quer saber mais, conheça nos outros artigos que tratam do tema.